Haben Sie eine Frage?

Wie gut Ihr Design auch sein mag, wenn es nicht sicher ist, können Sie einem Risiko ausgesetzt sein

Eingebettete Designs: Sicherheit von Tag 1 an

Die Herausforderungen für Entwickler, sichere Produktdesigns zu entwickeln, werden immer größer. Sicherheitsangriffe können an vielen Punkten im Lebenszyklus eines Embedded-Produktdesigns auftreten. Das bedeutet, dass Entwickler eine robuste Strategie für die Embedded-Sicherheit haben müssen, die das breite Spektrum an Sicherheitsschwachstellen adressiert.

Bitte nehmen Sie sich einen Moment Zeit und füllen Sie das untenstehende Formular aus, um sofortigen Zugriff auf dieses aufgezeichnete Webinar zu erhalten.
JavaScript und Cookies sind erforderlich, um dieses Formular zu verwenden
 Deckblatt

Aufgezeichnetes Webinar

Feb 11, 2021 | Länge: 59:01

Eingebettete Designs: Sicherheit von Tag 1 an

Die Herausforderungen für Entwickler, sichere Produktdesigns zu entwickeln, werden immer größer. Sicherheitsangriffe können an vielen Punkten im Lebenszyklus eines Embedded-Produktdesigns auftreten. Das bedeutet, dass Entwickler eine robuste Strategie für die Embedded-Sicherheit haben müssen, die das breite Spektrum an Sicherheitsschwachstellen adressiert.

Dieser aufgezeichnete Webcast von Open Systems Media vermittelt tiefe Einblicke in die Embedded Security Building Blocks von Experten von Digi und NXP. Sehen Sie sich diese Aufzeichnung an, um mehr über diese Bausteine zu erfahren und darüber, wie sie den Prozess der Entwicklung von Produkten, die "Secure by Design" sind, vereinfachen können. Digi International bietet eingebettete System-on-Module und Entwickler-Kits auf Basis von NXP i.MX-Prozessoren an, um die Sicherheit des Designs zu unterstützen, ohne dass der Entwickler über umfangreiche Sicherheitskenntnisse verfügen muss.

Nachbereitung Webinar Q&A

Nochmals vielen Dank, dass Sie an unserer Sitzung über Embedded Security teilgenommen haben. Hier sind die Fragen, die auf die Präsentation folgten, und ihre Antworten. Wenn Sie weitere Fragen haben, wenden Sie sich bitte an uns .

Unterstützen alle i.MX-Prozessoren Secure Boot, um die Root of Trust zu etablieren?

NXP: Ja, alle i.MX-Prozessorfamilien unterstützen sicheres Booten, wobei je nach Prozessorfamilie entweder HAB oder AHAB verwendet wird. Neuere Prozessoren unterstützen auch ECDSA-Schlüssel für High Assurance Boot.

In Ihrer Präsentation haben Sie Secure Boot und Encrypted Boot erwähnt. Können beide zusammen verwendet werden?

NXP: Ja, Sie benötigen Secure Boot, bevor Sie den Schritt des verschlüsselten Bootens durchführen können. Sie möchten kein Image verschlüsseln, das nicht zuvor authentifiziert wurde, um die Ausführung von nicht vertrauenswürdigem Code mit Malware zu verhindern. Die verschlüsselte Boot-Funktion fügt eine zusätzliche Sicherheitsoperation zum sicheren Boot hinzu.

Kann der sichere Boot-Prozess mit Mainline u-Boot und Linux-Kernel-Versionen verwendet werden?

NXP: Ja, Secure Boot kann mit Mainline u-Boot und Linux-Kernel-Versionen verwendet werden und wir haben Schritt-für-Schritt-Anleitungen, um Benutzer durch diesen Prozess zu führen: Sicheres Booten - Schritt-für-Schritt-Anleitungen für HAB- und AHAB-fähige Geräte.

Hinweis: Bitte wechseln Sie auf die gewünschte BSP-Version.

Können vertrauenswürdige Ausführungsumgebungen wie OPTEE authentifiziert werden, um den Root of Trust zu erweitern?

NXP: Ja, OPTEE oder jedes andere TEE kann authentifiziert werden, um die Root of Rust zu erweitern.

Welchen i.MX-Prozessor oder welches Digi SOM würden Sie uns empfehlen, um mit den heute beschriebenen Sicherheitsfunktionen zu beginnen?

Digi: Nun, das hängt wirklich von Ihrer Endanwendung ab. Da alle i.MX-Prozessoren und Digi ConnectCore® SOMs die heute besprochenen Secure-Boot-Funktionen unterstützen, müssten Sie sehen, welche zusätzlichen Funktionen erforderlich sind. Die neuen i.MX 8 Prozessoren sind sicherlich sehr beliebt und bieten eine Reihe von Sicherheits- und Verarbeitungsfunktionen, die zu Ihrer Anwendung passen.

Eine Liste der ConnectCore SOM-Optionen sowie ein Produktvergleichstool finden Sie auf der Seite Digi SOMs. Oder setzen Sie sich mit einem Digi-Vertreter über den Link Kontakt in Verbindung.

Wo erhalte ich weitere Informationen über den sicheren Boot-Prozess für i.MX-Prozessoren?

NXP: Wir haben eine ausführliche Dokumentation wie z. B. Anwendungshinweise auf unserer Website und Schritt-für-Schritt-Anleitungen auf Code Aurora für einen sicheren und verschlüsselten Bootvorgang, um Ihr System sicher zu booten und die Root of Trust zu etablieren:

Digi: Wir haben Secure Boot als Teil der Digi TrustFence® Sicherheitsbausteine für Linux und Android vollständig integriert. Die Informationen, die Sie zum Aktivieren und Verwenden benötigen, sowie Erläuterungen zu den Konzepten und der Infrastruktur finden Sie in der Digi-Dokumentation.

Wenn das Modul infiziert wird, werden die Daten vor der Verschlüsselung verändert. Wie kann man diese Art von Malware besiegen?

NXP: Benutzer müssen sicheres Booten durchführen, bevor Sie den Schritt des verschlüsselten Bootens durchführen können. Sie möchten kein Image verschlüsseln, das nicht zuvor authentifiziert wurde, um die Ausführung von nicht vertrauenswürdigem Code mit Malware zu verhindern. Die Funktion für verschlüsseltes Booten fügt eine zusätzliche Sicherheitsoperation zum sicheren Booten hinzu.

Wie sieht die Benutzeroberfläche aus, die es den Benutzern ermöglicht, Firmware sicher zu aktualisieren und Zertifikate zu verwalten? Führen Kunden diese Funktionen aus oder gibt es Managed Service Provider, die dies tun?

NXP: Alles, was mit der Firmware-Verwaltung und dem OS-Management zusammenhängt, wird derzeit von unseren Partnern (Clouds und Drittanbieter) durchgeführt. NXP hat derzeit keinen hauseigenen Service dafür, kann aber Partnerinformationen zur Verfügung stellen.

Digi: Für Digi-Geräte können Sie mit Digi TrustFence® sichere Firmware-Updates durchführen. Siehe die TrustFence-Dokumentation.

Wir haben festgestellt, dass NXP die Vigiles™ an mehreren Stellen befürwortet. Sind die Patches und Mitigations von NXP validiert?

NXP: NXP Linux Software GA-Releases verwenden das Vigiles™-Tool, um sicherzustellen, dass Patches korrekt angewendet und validiert werden. Bei kundenspezifischer Software stützt sich Vigiles™ auf Upstream-Validierungen. Darüber hinaus stellt Vigiles™ Referenzlinks zu Exploits/Minderungen bereit, wenn diese verfügbar sind, damit Kunden die Validierung des Fixes oder die Anwendung der entsprechenden Minderungen einrichten können. Weitere Informationen finden Sie in den Vigiles™-Inhalten.

Wie hilft Root of Trust, wenn die Lieferkette ausfällt? Infizierte Programme in das Gerät geladen werden?

NXP: Sichere Fertigung ist wichtig. Unser Fertigungs-Webinar bietet einige nützliche Informationen dazu.

NXP bietet auch Fertigungsschutzfunktionen für ausgewählte i.MX-Prozessoren an. Siehe unsere Fertigungsinformationen zur Sicherung der Kante.

Erlauben Sie Boot-Updates/Upgrades?

NXP: Der initiale Secure Boot, der vom internen unveränderlichen On-Chip-ROM ausgeht, kann nicht aktualisiert/aufgerüstet werden. Der vom Kunden verwendete sekundäre Bootloader kann jedoch über verschiedene Mechanismen aktualisiert werden. Ein Beispiel für die Durchführung von Secure Over-the-Air-Updates finden Sie in der Application Note Secure Over-the-Air Prototype for Linux Using CAAM and Mender oder SWUpdate.

Digi: In der Digi TrustFence® -Dokumentation finden Sie Anweisungen zur Durchführung von sicheren Firmware-Updates (die ein signiertes / verschlüsseltes Bootloader-Image enthalten können).

Erhebt NXP Gebühren für EdgeLock™ 2GO-Dienste?

NXP: Ja, der Service verwendet ein Pay-as-you-go-Modell (Gebühr pro Schlüssel / Zertifikatsausstellung, Widerruf). NXP kann einen Kostenvoranschlag für Ihre spezifische Anwendung erstellen. Weitere Informationen finden Sie auf der EdgeLock 2GO-Seite.

Hallo Asim, könnten Sie sich zu Situationen äußern, in denen der Einsatz von EdgeLock™ 2GO sinnvoll ist und wann die Verwendung der Kryptofunktionen von I.MX 8 sinnvoll ist?

NXP: EdgeLock™ 2GO ist ein SaaS-Service, während der i.MX ein sicherer Prozessor ist, daher sind sie nicht vergleichbar. EdgeLock™ 2GO ist auf i.MX und anderen SoCs verfügbar, die an eine SE050 SE angeschlossen sind. EL 2GO kann Zertifikate auf i.MX + SE050-Geräten im Auftrag der Kunden verwalten; SE050 + EL 2GO erweitert die Sicherheitsfunktionen des i.MX (Schlüsselverwaltung, Root of Trust, Zero Touch Cloud onboard). Siehe das EdgeLock 2GO Whitepaper.

Kunden können die Schlüssel/Zertifikate jedoch weiterhin auf den i.MX-Prozessoren verwalten und dabei die kryptografischen/Schlüsselspeicherfunktionen der i.MX nutzen. Siehe i.MX Verschlüsselte Speicherung mit CAAM Secure Keys Anwendungshinweis.

Können wir den Anwendungscode über Digi Remote Manager aktualisieren? Ich habe gehört, dass nur das Betriebssystem über Digi Remote Manager aktualisiert werden kann?

Digi: Ja, Digi Remote Manager bietet volle Flexibilität bei Updates. Es können nur Anwendungen, ausgewählte Partitionen oder ein vollständiges System-Update sein.

Welche Garantien geben Sie den Kunden, die Ihre Sicherheitslösungen einsetzen?

NXP: Obwohl NXP fortschrittliche Sicherheitsfunktionen implementiert hat, können alle Produkte mit nicht identifizierten Schwachstellen behaftet sein. Die Kunden sind für das Design und den Betrieb ihrer Anwendungen und Produkte verantwortlich, um die Auswirkungen dieser Sicherheitslücken auf die Anwendungen und Produkte der Kunden zu reduzieren, und NXP übernimmt keine Haftung für entdeckte Sicherheitslücken. Kunden sollten angemessene Design- und Betriebsschutzmaßnahmen implementieren, um die mit ihren Anwendungen und Produkten verbundenen Risiken zu minimieren.

Digi: Einverstanden. Wir bieten exzellente Unterstützung und Dokumentation, um Kunden zu helfen, Sicherheit in ihre Produkte einzubauen, sowie ein Wireless Design Services Team, das fachkundige technische Unterstützung auf dem Weg dorthin bieten kann. Kontaktieren Sie uns, um mehr zu erfahren.

Verwandte Inhalte

Was ist ein Embedded-Betriebssystem? Was ist ein Embedded-Betriebssystem? Ein Embedded-Betriebssystem ist das Gehirn eines Produkts. Es wird entwickelt und optimiert, um die Effizienz der Steuerung zu verbessern... BLOG LESEN Auswahl des Startpunkts für das Design von Embedded-Systemen Auswahl des Startpunkts für das Design von Embedded-Systemen Bei der Entwicklung von Produkten mit eingebetteten Systemen ist es entscheidend, alle Hindernisse zu beseitigen, die dem Erfolg im Wege stehen. Die Zeit bis zur Markteinführung ist typischerweise... BLOG LESEN Digi ConnectCore SOM-Lösungen Digi ConnectCore SOM-Lösungen Embedded-System-on-Module, die ausschließlich auf NXP i.MX-Applikationsprozessoren basieren - entwickelt für Langlebigkeit und Skalierbarkeit, in industriellen IoT-Anwendungen ANSEHEN PDF Machine Learning Demo mit Digi ConnectCore und ByteSnap SnapUI Machine Learning Demo mit Digi ConnectCore und ByteSnap SnapUI Digi International und ByteSnap Design arbeiteten zusammen, um eine interessante und unterhaltsame Demo mit einem Piratenspiel zu entwickeln... VIDEO ANSEHEN Vereinfachen und beschleunigen Sie Ihre Entwicklung mit Digi ConnectCore i.MX-basierten SOMs Vereinfachen und beschleunigen Sie Ihre Entwicklung mit Digi ConnectCore i.MX-basierten SOMs Die Entwicklung eines IoT-Produkts ist eine Herausforderung, und deshalb scheitert ein großer Prozentsatz der Embedded-Design-Projekte an der... AUFGEZEICHNETES WEBINAR Eingebettetes Rechnen: Design for Ease of Manufacturing und Low Cost-of-Ownership Eingebettetes Rechnen: Design for Ease of Manufacturing und Low Cost-of-Ownership Der Markt für eingebettete System-on-Module (SOMs) ist gewachsen und bietet vielfältige Optionen für Anwendungen, die von Displays im Einzelhandel bis hin... BLOG LESEN Digi ConnectCore 8M Nano: Entwickler-Ressourcen, Sicherheit, Skalierbarkeit Digi ConnectCore 8M Nano: Entwickler-Ressourcen, Sicherheit, Skalierbarkeit Digi International gab kürzlich die Verfügbarkeit des Digi ConnectCore 8M Nano Development Kit bekannt. Das Digi ConnectCore® 8M... BLOG LESEN Kundenspezifische Entwicklung Kundenspezifische Entwicklung Digi Wireless Design Services hilft Unternehmen bei der Lösung von Geschäftsproblemen durch die Einbindung von Wireless-Technologien zur Entwicklung innovativer M2M-Produkte